Az igen nagy népszerűségnek örvendő kínai divatcég alkalmazásának egy régebbi verziója időnként rögzítette és egy távoli szerverre továbbította az androidos eszközök vágólap tartalmát.
A SHEIN, eredeti néven ZZKKO, egy szingapúri székhelyű online kínai gyors-divatkereskedő cég. Ezidáig több mint 100 millióan töltötték le a Play Store alkalmazásboltból a jelenleg 9.0.0 verziójánál járó appot.
A Microsoft 365 Defender Research Team egy hibát fedezett fel az alkalmazás 2021. december 16-án kiadott 7.9.2-es verziójában, ami a 2022. májusi kiadással került csak javításra. A Microsoft elmondása szerint nem találtak a hiba mögött meghúzódó rosszindulatú szándékra utaló jeleket, és azt is elárulta, hogy maga a funkció nem szükséges az alkalmazáson belüli műveletek végrehajtásához. Az alkalmazás elindítása után, ha bármilyen tartalmat a vágólapra másolt a felhasználó automatikusan elindított egy, az adatokat tartalmazó HTTP POST kérést az api-service[.]shein[.]com kiszolgálóhoz.
Az ilyen és ehhez hasonló adatvédelmi kockázatok csökkentése érdekében a Google számos fejlesztést végzett az elmúlt években, például azon üzenetek megjelenítésére vonatkozóan, ha egy alkalmazás hozzáfér a vágólaphoz, és azt is megtiltotta az alkalmazásoknak, hogy csak akkor férhessenek hozzá az adatokhoz, ha azok aktívan futnak az előtérben.
Mivel a mobilfelhasználók gyakran használják a vágólapot érzékeny adatok – például jelszavak vagy fizetési információk – másolására és beillesztésére, ezért a vágólap tartalmához történő hozzáférés kiemelt célja lehet a támadóknak.
